Phần mềm độc hại có thể hoạt động ngay cả khi điện thoại tắt nguồn

Theo Ars Technica, khi bạn tắt iPhone, thiết bị sẽ không tắt nguồn hoàn toàn. Thay vào đó, các chip bên trong iPhone vẫn tiếp tục chạy ở chế độ năng lượng thấp (LPM) để người dùng có thể xác định vị trí thiết bị trong trường hợp bị thất lạc hoặc mất cắp bằng tính năng Find My (tìm của tôi).

Tuy nhiên, các nhà nghiên cứu đã phát hiện ra rằng cơ chế này có thể cho phép phần mềm độc hại hoạt động ngay cả khi iPhone đã bị tắt.

 Phần mềm độc hại có thể hoạt động ngay cả khi điện thoại tắt nguồn

Cơ chế này lợi dụng các chip không dây trong iPhone là Bluetooth, NFC và băng thông siêu rộng (UWB). Cả ba chip tiếp tục hoạt động trong khi hệ điều hành iOS bị tắt khi chuyển sang Chế độ nguồn điện thấp "dự trữ năng lượng" (LPM).

Theo các chuyên gia tại Phòng thí nghiệm Mạng Di động Bảo mật (SEEMOO) thuộc Đại học Kỹ thuật Darmstadt (Đức), dù được dùng để kích hoạt tính năng Find My và hỗ trợ giao dịch Thẻ Express, cả ba chip không dây đều có quyền truy cập trực tiếp vào các yếu tố bảo mật.

Trong đó, chip Bluetooth và UWB được kết nối với Phần tử Bảo mật (SE) trong chip NFC, lưu trữ những thông tin bí mật trong LPM - được triển khai trong phần cứng. Do đó, chip không dây sẽ không tắt sau khi chọn tắt máy, đặt ra một mối đe dọa mới.

Kể từ iOS 15, những chip này có thể vận hành vô thời hạn, giúp định vị điện thoại qua ứng dụng Find My, cũng như thanh toán và mở khóa xe ngay cả khi tắt nguồn. Tính năng này có ích trong trường hợp mất điện thoại hoặc cần dùng trong một số hoạt động thường ngày, nhưng cũng mở ra nguy cơ điện thoại bị mã độc tấn công, trừ khi máy sập nguồn do cạn pin.

Việc triển khai LPM hiện không rõ ràng, các nhà nghiên cứu còn phát hiện firmware cho Bluetooth không được ký và mã hóa. Bằng cách lợi dụng kẽ hở này, kẻ tấn công có thể tạo ra phần mềm độc hại có khả năng thực thi trên chip Bluetooth của iPhone ngay cả khi máy đã tắt nguồn.

Các kỹ sư của Apple đã xem xét bài báo cáo trước khi nó được xuất bản, nhưng đại diện công ty chưa bao giờ phản hồi về vấn đề trên. Với sự nguy hiểm đến từ tính năng LPM, các nhà nghiên cứu kêu gọi Apple đưa thêm một công tắc phần cứng để ngắt kết nối pin nhằm giảm lo ngại về giám sát có thể phát sinh từ các cuộc tấn công cấp firmware.

Các nhà nghiên cứu cho biết, vì LPM dựa trên phần cứng của iPhone, tính năng này không thể bị xóa bằng các bản cập nhật hệ thống. Do đó nó ảnh hưởng lâu dài đến mô hình bảo mật iOS tổng thể. Tính năng Find My sau khi tắt nguồn sẽ biến iPhone thành thiết bị theo dõi. Trong khi việc triển khai bên trong chương trình Bluetooth lại không được bảo đảm chống bị thao túng.

Lê Chính (t/h)